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Procede de verification de signature 
ou d 1 authentif ication 

La presente invention concerne un procede 
5 permettant de rendre plus efficace, en temps de calcul, en 
RAM et ROM necessaires, la verification d'une signature ou 
d'une authentif ication asymetrique requerant quelques 
multiplications modulo n ou des grands nombres. 
Les algorithrnes de signature ou d' authentif ication RSA et 
10 Rabin sont des exemples permettant la mise en ceuvre de ce 
procede. 

Le procede est plus particulierement adapte en vue 
d T une mise en ceuvre dans le cas ou un ordinateur/ par 
exemple un ordinateur personnel designe par PC, qui genere 

15 une signature ou une authentif ication au moyen d'une cle 
secrete qui doit ensuite etre verifiee par une carte a 
rnicrocalculateur . Le microcalculateur effectue cette 
verification au moyen d'une cle publique. II dispose de 
relativement peu de puissance en comparaison du PC. 

20 Par "carte a microcalculateur", on entend un 

microcontroleur monolithique standard, avec memoire 
incorporee. 

Actuellement la majorite des algorithrnes a cle 
publique utilises dans le monde effectuent des calculs 

25 modulo de "grands nombres" . Par "grands nombres" , on 
designe des nombres entiers positifs et d' au moins 320 
bits. Pour des raisons de securite, la communaute 
scientifique recommande meme actuellement d'utiliser des 
nombres d'au moins 512 bits, voire 1024 bits pour la 

30 plupart des algorithrnes, par exemple pour les algorithrnes 
RSA ou Rabin. 

Actuellement les cartes a microcalculateur sont 
amenees a dialoguer avec des ordinateurs ayant des 



capacities de calcul bien plus importantes qu' elles-memes . 
De plus, pour des raisons de cout, on utilise souvent des 
cartes a microcalculateur sans coprocesseur arithmetique, 
et avec des ressources en memoire (ROM, RAM et EEPROM) 
tres limitees. De ce fait, les calculs normalement reauis 
pour realiser une verification d' authentif ication, ou une 
verification de signature a cle publique, u€llisant des 
calculs modulo de grands nqmbres sont souvent tres longs, 
voire impossible faute de memoire suffisante, si l'on 
utilise les descriptions traditionnelles des algorithmes 
cryptographiques . 

Dans la suite de la description on designe par : 

• " prouveur " : l'entite qui veut etre authentif iee, ou qui 
produit une signature. Elle effectue pour cela des 
calculs faisant intervenir la cle secrete de 
l'algorithme asymetrique utilise. II s'agira par exemple 
d'un ordinateur de type PC. 

• " verifieur " : l'entite qui verifie I 7 authentif ication, 
ou qui verifie la validite d' une signature. Elle 
effectue pour cela des calculs faisant intervenir 
uniquement la cle publique de l'algorithme 
cryptographique asymetrique utilise. II s'agira par 
exemple d'une carte a microcalculateur. 

La presente invention a pour objet la mise en 
ceuvre d'un procede de verification de signature et 
d 'authentif ication permettant de remedier aux 
inconvenients precites inherents a la capacite de calcul 
plus limitee d'une entite verifieur, constitute par une 
carte a microcalculateur, vis-a-vis d'une entite prouveur, 
tel qu'un ordinateur personnel ou autre muni d'un 
dispositif lecteur de carte. 

Un autre objet de la presente invention est en 
consequence une simplification des operations de calcul de 



certaines reductions modulaires du verifieur grace a la 
mise en ceuvre de calculs supplementaires du prouveur, la 
tache du verifieur etant ainsi simplifiee en 1' absence de 
tout af faiblissement de la securite theorique de 
1 1 ensemble . 

Le procede de verification de signature 
respectivement d 1 authentif ication au moyen d'un processus 
de calcul cryptographique asymetrique a cle privee et a 
cle publique, objet de la presente invention, ce procede 
etant conduit entre une entite "prouveur" et une entite 
"verifieur", 1* entite prouveur effectuant des calculs 
cryptographiques a partir de la cle privee en vue 
d'effectuer un calcul de signature, respectivement une 
valeur d ' authentif ication, et 1' entite verifieur a partir 
de cette valeur transmise effectuant des calculs 
cryptographiques a partir de cette cle publique en vue de 
proceder a cette verification de signature, respectivement 
a cette authentif ication, les operations de calcul 
. cryptographique mettant en ceuvre le calcul de 
multiplications modulo n ou des grands nombres, est 
remarquable en ce que, pour un processus de calcul 
cryptographique mettant en ceuvre une cle publique, 
constitute par un exposant public e et un modulo public n, 
et une cle privee constitute par un exposant prive, d, ce 
procede consiste a calculer, au niveau de l'entite 
prouveur, au moins une valeur de prevalidation et a 
transmettre de l'entite prouveur a l'entite verifieur 
cette au moins une valeur de prevalidation,. permettant a 
l'entite verifieur d'effectuer au moins une reduction 
modulaire en l 1 absence de toute operation de division pour 
cette reduction modulaire. 

Le procede, objet de la presente invention, 
s' applique dans le cadre de tout dialogue ou protocole 



d'echange de messages entre une entite prouveur telle 
qu'un ordinateur personnel et une entite verifieur telle 
qu'une carte a microcalculateur, en particulier dans le 
cadre de transactions bancaires, de controle d'acces ou 
5 analogue, 

II sera mieux compris a la lecture de la 
description ci-apres et a 1 1 observation des cfessins dans 
lesquels : 

- la figure 1 represente un schema illustratif du 
10 procede, objet de la presente invention, mis en ceuvre 

entre une entite prouveur et une entite verifieur ; 

- la figure 2a represente un schema illustratif du 
procede, objet de la presente invention, mis en ceuvre a 
partir d'un algorithme de Rabin en verification 

15 d 1 authentif ication ; 

- la figure 2b represente un schema illustratif du 
procede, objet de la presente invention, mis en ceuvre a 
partir d'un algorithme de Rabin en verification de 
signature ; 

- la figure 3a represente un schema illustratif du 
procede, objet de la presente invention, mis en ceuvre a 
partir d'un algorithme. RSA en verification 
d' authentif ication ; 

- la figure 3b represente un schema illustratif du 
25 procede, objet de la presente invention, mis en ceuvre a 

partir d'un algorithme RSA en verification de signature. 

Une description plus detaillee du procede, objet 
de I 1 invention, sera donnee en liaison avec la figure 1 et 
les figures suivantes. 
30 Le procede objet de 1' invention met en ceuvre, au 

niveau de 1' entite verifieur, des algorithmes a cle 
publique requerant des multiplications modulo n, ou des 
grands nombres, et les modifie leg^rement en faisant faire 
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le calcul d'un ou de plusieurs quotients q a l'exterieur, 
c'est-a-dire au niveau de l'entite prouveur, et en 
fournissant ce ou ces quotients au verifieur. Ainsi le 
verifieur peut plus facilement et plus rapidement calculer 
certaines multiplications modulaires : au lieu de calculer 
a*b modulo n, il aura juste . a calculer a*b, q*n, et 
a*b-q*n, a, b designant des valeurs des*' calcul de 
verification de signature ou d 'authentif ication . Parfois, 
pour la securite il utilise cette derniere valeur d'une 
fa<jon qui lui permettra de s' assurer que cette derniere 
valeur est bien comprise entre 1 et n. Lorsque l'on 
modifie ainsi un algor'ithme, en "precalculant" done 
certains quotients, qui sont fournis au verifieur afin de 
simplifier les calculs executes par ce dernier, on parle 
d'algorithme " sous-jacent" pour designer l'algorithme 
initial dont on est parti, avant de faire cette 
modification, Ainsi, en reference a la figure 1, 
conformement a un aspect remarquable du procede objet de 
la presente invention, le ou les quotients q, verifiant la 
relation q=a*b/n, constituent une ou plusieurs valeurs de 
prevalidation transmises a l'entite verifieur afin de 
permettre a l'entite verifieur d'effectuer au moins une 
reduction modulaire e.n 1' absence de toute operation de 
division pour cette reduction modulaire. En reference a la 
figure 1, on indique que le procede objet de 1' invention 
peut etre mis en ceuvre soit en verification de 
l f authentif ication, suite a 1' envoi 0 d'une valeur 
d'incitation tel qu'un alea a, calcul 1 en interne au 
niveau du prouveur d'une valeur de reponse b = a d mod n, 
et de la valeur de prevalidation q, transmission 2 de b et 
q du prouveur au verifieur et calcul 3 par le verifieur 
des quantites a*b, q*n et a*b-q*fi pour proceder a la 
verification de 1 1 authentif ication, soit a la verification 
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de signature d'un message M, suite au calcul 1 au niveau 
du prouveur d'une signature S = S d (M) du message M et de 
la valeur de prevalidation q, envoi 2 du verifieur au 
prouveur de q, S et M, calcul 3 au niveau du verifieur des 
quantites a*b = 5*S, q*n et a*b-q*n pour proceder a la 
verification de signature. 

Dans la figure 1 et les figures suivantes, une 
fleche droite represente la transmission des valeurs 
precitees entre verifieur et prouveur ou reciproquement et 
une boucle flechee au niveau du prouveur ou du verifieur 
represente la mise en ceuvre d'un calcul interne au niveau 
du prouveur ou du verifieur. Enfin, dans la suite de la 
description, on designe par reponse R soit la valeur 
calculee b par chiffrement de l'alea a dans le cas d'une 
15 verification d' authentication b = a d mod n, soit la 
valeur de signature S = S d (M) suite a la mise en presence 
du verifieur et du prouveur. 

Differents exemples de mise en ceuvre du procede 
objet de la presente invention seront maintenant decrits a 
20 partir des algorithmes sous-jacents, designes par 
algorithmes RSA et algorithmes de Rabin. 
Algorithmes RSA et de Rabin sous-jacents 

L'algorithme RSA est le plus celebre des 
algorithmes cryptographiques asymetriques . II a ete 
invente par RIVEST, SHAMIR et ADLEMAN en 1978. On peut le 
trouver decrit dans : 

R.L. RIVEST, A. SHAMIR, L.M. ADLEMAN : A Method for 
Obtaining Digital Signatures and Public-Key Cryptosystems , 
Communications of the ACM, 21, n°2, 1978, pp. 120-126. 
30 ou dans les documents suivants : 

• ISO/IEC 9594-8/ITU-T X. 509, Information Technology - 

Open Systems Interconnection - The Directory: 

Authentication Framework ; 
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• ANSI X9.31-1, American National Standard, Public-Key 
Cryptography Using Reversible Algorithms for the 
Financial Services Industry, 1993. 
Ces documents sont introduits dans la presente description 
5 a titre de reference. 

L' algorithme RSA utilise un nombre entier n qui 
est le produit de deux grands nombres premiers p et r, et 
un nombre entier e, premier avec ppcm (p-1 , r-1 ) , et tel que 
e * ± 1 modulo ppcm (p-1, r-1 ) . Les entiers n et e 
10 constituent la cle publique. Le calcul en cle publique 
fait appel a la fonction a de Z/nZ dans Z/nZ definie par 
a(x)=x e mod n. Le calcul en cle secrete fait appel a la 
fonction a" 1 (y)=y d mod n, ou d est 1' exposant secret, 
appel6 aussi "cle secrete" ou "cle privee" , defini par 
15 ed = 1 mod ppcm (p-1 , r-1) . 

Notons n le modulo public RSA, notons d 1' exposant 
secret RSA et notons e 1' exposant public RSA. 

Dans le cas d'une verification d' authentif ication, 
le verifieur genere un nombre aleatoire A modulo n, et 
20 l'envoie au prouveur. Celui ci calcule alors B= A d modulo 
n, et renvoie cette valeur B au verifieur. Celui-ci 
accepte alors 1' authentif ication si et seulement si: B e 
modulo n = A. 

La plus petite valeur de e pour mettre en ceuvre 
25 l'algorithme RSA est e = 3. Pour e = 2, on parle 
d'algorithme de Rabin ; celui-ci sera decrit ci-apres dans 
la description. Cette valeur e = 3 est interessante car 
elle permet au verifieur de n' avoir a effectuer que deux 
multiplications modulaires. 
30 L' algorithme de Rabin est en quelque sorte un 

algorithme RSA avec 1' exposant public e = 2. En fait, 
lorsque e = 2, la fonction x e n'est pas bijective 
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modulo n, lorsque n est le produit de deux nombres 
premiers > 2, on introduit done des petites modifications 
dans 1' utilisation de l'algorithme de Rabin par rapport au 
RSA. 

On peut trouver une description de l'algorithme de 
Rabin dans : 

M.O. Rabin, Digitized Signatures and Public-Key Functions 
as intractable as Factorization, Technical Report LCS/TR- 
212, M.I.T. Laboratory for Computer Science, 1979, 
introduit dans la presente demande de brevet a titre de 
reference. 

Exemples de mise en ceuvre du procede objet de 1' invention 
a part ir des alqorithmes de Rabin et RSA 
♦ Algorithme de Rabin 

Le procede, objet de la presente invention, sera 
tout d'abord decrit dans un mode de realisation 
particulier non limitatif a partir de l'algorithme de 
Rabin, soit pour e = 2. 

Verification d ' authentif ication 
Ainsi que represents en figure 2a, un exemple 
possible d' utilisation de l'algorithme de Rabin en 
verification d' authentif ication est maintenant decrit. 
No tons n le modulo public. Le verifieur genere un nombre 
aleatoire A modulo n, et l'envoie, 0, au prouveur. Celui- 
ci calcule alors un nombre B, et renvoie, 1, cette valeur 
B au verifieur. Celui-ci accepte alors 1' authentif ication 
si et seulement si: B*B modulo n est egal a l'une des 
quatre valeurs possibles suivantes : A, ou n-A, ou C*A 
modulo n, ou -C*A modulo n. C est un nombre fixe par le 
protocole, C = 2 le plus souvent . 

Pour simplified le processus de verification, 
conformement au procede objet de la presente invention, le 
prouveur n'envoie pas, en 2, la valeur B seule : il envoie 



B et Q, ou Q est le quotient de B*B par le modulo public 
n. Le verifieur verifie alors que D AR = B*B - Q*n est bien 
egal a l'une des quatre valeurs suivantes : A, n-A, (C*A) 
modulo n, ou (-C*A) modulo n. De plus, il peut calculer 
(C*A) modulo n en calculant C*A, en gardant cette valeur 
si elle est < n, et en prenant la valeur C*A - n sinon. De 
meme, il peut calculer (-C*A) modulo n en calculant n-C*A, 
en gardant cette valeur si elle est >= 0, et en prenant la 
valeur C*n - C*A sinon. Ainsi le verifieur n'a plus aucune 
division a effectuer. 

Verification de signature 
Ainsi que represents en figure 2b, et en 
conservant les memes notations que ci-dessus, on note M le 
message dont le verifieur souhaite verifier la signature 
S. La signature S est obtenue & partir de la cle privee d 
par S = Sd(M), S d {M) designant 1' operation de calcul de 
signature du message M . Si S est une signature Rabin de M, 
alors le verifieur verifie normalement que S*S modulo n = 
f(M) ou n-f(M), ou (2*f(M) modulo n) ou (-2*f(M) modulo 
nj , ou f est une fonction publique standardisee du message 
M. Par exemple f est la fonction identite, ou bien est 
decrite dans une norme de signature ; par exemple on peut 
utiliser les operations de paddage ou concatenation de la 
norme PKCSftl, etablie pour du RSA normalement, confer les 
elements descriptifs de cette norme ci-apres dans la 
description. 

En conservant les memes notations que ci-dessus, 
pour simplifier le processus de verification de la 
signature, ainsi que represents en figure 2b, dans le 
procede objet de la presente invention, le prouveur 
n'envoie pas, en 2, la valeur S seule : il envoie S et Q, 
ou Q est le quotient de S*S par le modulo public n. Le 
verifieur verifie alors que D SR = S*S - Q*n est bien egal 
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a f(M), ou n-f(M), ou C*f(M) modulo n, bu.-C*f(M) modulo 
n, ou C est un nombre fixe par le protocole, C pouvant 
etre pris egal a 2. Comme ces deux dernieres valeurs 
peuvent etre calculees modulo n en effectuant zero ou une 
soustraction par n, le verifieur n'a plus aucune division 
a calculer. 
♦ Algorithme RSA 

Le procede, objet de la presente invention, sera 
maintenant decrit dans un mode de realisation particulier 
non limitatif a partir de 1* algorithme RSA, soit pour 
e = 3. 

Verification d' authentif ication 
Ainsi que represents en figure 3a, a partir d'un 
alea A, pour simplifier le processus de verification, dans 
15 la presente invention le prouveur n'envoie pas, en 2, la 
valeur B seule : il envoie B, Ql et Q2, ou Ql est le 
quotient de B*B par le modulo public n, et ou Q2 est le 
quotient de B* ( B*B - Ql*n) par n. Le verifieur verifiera 
alors que Dar SA = B* (B*B - Ql*n) -Q2*n est bien egal a A. 
Ainsi le verifieur n'a plus aucune division a effectuer. 
Verification de signature 
En conservant les memes notations que ci-dessus et 
en notant M le message dont le verifieur souhaite verifier 
la signature S, S est une signature RSA de M, alors le 
25 verifieur verifie normalement que S e modulo n = f(M), ou f 
est une fonction publique standardises du message M. Par 
exemple f est la fonction identite, ou bien est decrite 
dans une norme de signature RSA, comme par exemple la 
norme PKCS#1. La fonction publique normalisee peut 
30 consister a appliquer au message M une fonction de 
condensation SHA-1 pour obtenir un condense de message CM, 
puis a concatener a ce condense de message une valeur 
constante. 
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Ainsi que represents en figure 3b, et en 
conservant les memes notations que ci-dessus, pour 
simplifier le processus de verification de la signature, 
dans, le procede, objet de la presente invention, le 
prouveur n'envoie pas, en 2, la valeur S seule : il envoie 
S, Ql et Q2, ou Ql est le quotient de S*S par le modulo 
public n, et ou Q2 est le quotient de S* ( S*S*'- Ql*n) par 
n. Le verifieur verifiera alors que D S rsa = S*(S*S - Ql*n) 
-Q2*n est bien egal a f (M) . Ainsi le verifieur n'a plus 
aucune division a effectuer. 

La fonction de condensation SHA-1 est une fonction 
publique de "condensation" . Elle prend en entree un 
message dont la taille peut aller de 0 octets a plusieurs 
Giga octets, et donne en sortie un "condense" du message 
de 160 bits. Cette fonction est souvent utilisee dans des 
normes ou avec des algorithmes de signature, car elle est 
reputee etre resistante aux collisions, c'est-a-dire que 
I' on ne sait pas trouver concretement deux messages 
distincts qui ont le meme condense (il en existe mais on 
ne sait pas comment trouver un tel couple de messages). 
Ceci permet de signer le condense des messages plutot que 
les messages eux-memes . 

La norme PKCS#1 est une norme de signature RSA. 
Elle decrit une fonction publique f. Cette fonction f est 
appliquee sur le message M a signer avec RSA avant de 
lancer 1' operation d' exponentiation modulaire RSA 
proprement dite : la signature RSA de M sera done S = 
(f(M)) d modulo n, oCx n est le modulo public RSA et ou d 
est 1'exposant secret RSA. f utilise une fonction de 
condensation (par exemple SHA-1) suivie d'un paddage, ou 
concatenation, avec une constante. 
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Pour une description plus detaillee, on peut consulter : 
PKCS#1, RSA Encryption Standard, version 2, 1998 
disponible a l'adresse suivante : 
ftp : / / ftp . rsa . com/pub/pkcs/doc/pkcs-lv2 . doc 
dont la version editee est introduite dans la presente 
demande a titre de reference. 

L' invention consiste ainsi a fournir 'des donnees 
supplementaires au verifieur afin de lui faciliter les 
calculs. Pour precalculer ces donnees, ici des quotients 
constituant la ou les valeurs de pre- validation, on n'a 
pas besoin d'utiliser la cle secrete de 1' algorithme . Cela 
signifie que ces donnees sont completement redondantes par 
rapport aux valeurs transmises a la carte dans une 
utilisation "classique" de l'algorithme asymetrique. En 
fait, dans la version "classique", la carte sait retrouver 
elle-meme ces quotients. II n'y a done aucune information 
supplementaire fournie a la carte, au sens de la theorie 
de 1' information, lorsqu'on met en ceuvre le procede, objet 
de la presente invention tel que decrit precedemment . Cela 
20 montre que la securite de 1' ensemble n'est en rien 
affaiblie par rapport a la mise en ceuvre "classique" de 
l'algorithme. 
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REVENDICATIONS 

1. Procede de verification de signature 
respectivement d • authentif ication au moyen d'un processus 
de calcul cryptographique asymetrique a cle privee et a 
cle publique, entre une entite "prouveur" et une entite 
"verifieur", 1' entite prouveur effectuant des calculs 
cryptographiques a partir de ladite cle privee en vue 
d'effectuer un calcul de signature respectivement d'une 
valeur d » authentif ication constituant une valeur de 
reponse et 1' entite verifieur, a partir de cette valeur de 
reponse, effectuant des calculs cryptographiques a partir 
de ladite cle publique en vue de proceder a cette 
verification de signature respectivement cette 
authentication, les operations de calcul cryptographique 
mettant en ceuvre le calcul de multiplications modulo n ou 
des grands nombres, caracterise en ce que pour un 
processus de calcul cryptographique mettant en ceuvre une 
cle publique, constitute par un exposant public e et un 
modulo public n, et une cle privee constitute par un 
exposant prive, celui-ci consiste : 

- a calculer au niveau de ladite entite prouveur 
au moins une valeur de pre-validation ; 

- a transmettre de 1' entite prouveur a 1' entite 
verifieur ladite au moins une valeur de pre-validation, 
cette valeur de pre-validation permettant a 1' entite 
verifieur d'effectuer au moins une reduction modulaire en 
1' absence de toute operation de division pour cette 
reduction modulaire. 

2. Procede selon la revendication 1, caracterise 
en ce que pour un exposant public e=2, le processus de 
calcul cryptographique etant base sur un algorithme de 
RABIN, ladite au moins une valeur de pre-validation est 
constitute par une valeur unique, quotient Q du carre de 
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ladite valeur de signature respectivement de response par 
ledit modulo public n, Q = R*R/n, ou R designe ladite 
valeur de signature de reponse a une authentif ication . 

3. Procede selon la revendication 2, caracterise 
en ce que suite a la reception par ladite entite verifieur 
de ladite valeur de reponse a une verification 
d 1 authentif ication respectivement de signature d'un 
message (M) et de ladite. au moins une valeur de pre- 
validation, constituee par ledit quotient, ce procede 
consiste, au niveau de ladite entite verifieur : 

- a calculer la difference (Dar, D sr ) entre le carre 
de la valeur de reponse R*R et le produit Q*n dudit 
quotient Q par ledit modulo public n, (D AR , D SR ) = 
R*R -Q*n ; 

- a verifier l'egalite de ladite difference avec 
la valeur d'une fonction de cette valeur de reponse, en 
1' absence de toute operation de division par 1' operation 
modulo n. 

4. Procede selon la revendication 1, caracterise 
en ce que pour un exposant public e = 3, le processus de 
calcul cryptographique etant base sur un algorithme RSA, 
ladite au moins une valeur de pre-validation est 
constituee par : 

- un premier quotient Q x du carre R*R de ladite 
valeur de reponse R par ledit modulo public n ; 

- un deuxieme quotient Q 2 du produit de ladite 
valeur de reponse et de la difference entre le carre R*R 
de cette valeur de reponse et du produit dudit premier 
quotient Qi et du modulo public n par ledit modulo public 
n, Q 2 = R* (R*R - Q x *n) /n. 

5. Procede selon la revendication 4, caracterise 
en ce que suite a la reception de ladite valeur de reponse 
R et de ladite au moins une valeur de pre-validation 
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constitute par lesdits premier et deuxieme quotients Q lf 
Q 2 , ledit precede consiste, au niveau de ladite entite 
verifieur : 

- a calculer la difference (Darsa/ D SRS a) entre le 
produit de ladite valeur de reponse R et de la difference 
entre le carre R*R de cette valeur de reponse et le 
produit dudit premier quotient Qi et du modulo** public n et 
le produit dudit deuxieme quotient Q 2 et dudit modulo 
public n, (Darsa, D SRS a) « R* (R*R - Qi*n) -Q 2 *n ; 

- a verifier I'egalite de cette difference avec la 
valeur d'une fonction de ladite valeur de reponse, en 
l r absence de toute operation de division par operation 
modulo n . 

6. Procede selon la revendication 3 ou 5, 
caracterise en ce que pour une operation de verification 
de signature d'un message (M) , ladite fonction est une 
fonction publique normalisee f(M) de ce message M et 
consiste : 

a appliquer a ce message une fonction de 
condensation pour obtenir un condense de message CM ; 

- a concatener a ce condense de message une valeur 
constante. 

7. Procede selon l'une des revendications 3 ou 5, 
caracterise en ce que pour une operation de verification 
d ' authentif ication, ce procede consiste en outre a 
transmettre de 1' entite verifieur a l 1 entite prouveur une 
valeur d 1 incitation . 

8. Procede selon la revendication 1, caracterise 
en ce que ladite valeur. d 1 incitation est constitute par 
une valeur aleatoire A modulo n, ladite valeur de reponse 
R est constitute par une valeur chiffree B, ladite 
fonction de la valeur de reponse est une fonction f.(A) de 
ladite valeur aleatoire A. 
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9. Procede selon l'une des revendications 3 et 7, 
caracterise en ce que ladite fonction f(A) de ladite 
valeur aleatoire A est une fonction parmi les fonctions 
f(A) = A, f(A) = n-A, f(A) = C*A modulo n, f(A) = -c*A 
modulo n. 

10. Procede selon la revendication 9, caracterise 
en ce que, au niveau de l'entite verifieur, le calcul de 
ladite fonction f (A) = c*A modulo n est effectue par 
calcul de la valeur C*A et memorisation de cette valeur si 
C*A < n et par calcul et memorisation de la valeur C*A-n 
sincn, et en ce que le calcul de ladite fonction 
f(A) = -C*A modulo n est effectue par calcul de la valeur 
-C*A et memorisation de cette valeur si -C*A < n et par 
calcul de la valeur intermediaire n-C*A, et, si cette 
valeur intermediaire est superieure ou egale a zero, 
calcul et memorisation de la valeur de C*n-C*a comme 
valeur affectee a la valeur de -C*A modulo n sinon, ce qui 
permet de verifier l'egalite de ladite authentif ication en 
1' absence de toute division pour reduction modulaire. 

20 11 • Procede selon les revendications 5 et 8, 

caracterise en ce que ladite fonction f(A) de ladite 
valeur aleatoire A est la fonction f (A) = A, ce qui permet 
de verifier l'egalite de ladite difference et la validite 
de ladite authentif ication, en 1' absence d' operation de 

25 division pour reduction modulaire. 

12. Procede selon les revendications 1, 2, 3 et 8, 
caracterise en ce que ladite valeur de reponse, valeur 
chiffree B, et ladite valeur de quotient Q sont 
concatenees prealablement a leur transmission de l'entite 
prouveur a l'entite verifieur. 

13. Utilisation du procede selon l'une des 
revendications 1 a 12, l'entite verifieur etant constitute 
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par un systeme embarque tel 
et l'entite prouveur par un 
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qu'une carte a microprocesseur 
systeme lectaur de carte. 
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